「サイバーセキュリティ主要課題2025:エネルギーセクター」における主なポイント
- 地政学的リスクとサイバー脅威が高まる環境下では、脆弱性管理を単なる技術的な対応にとどめるのではなく、ビジネスの観点に立ち返り、組織への潜在的な影響を踏まえたうえでリスクを判断・優先する「リスクベースのアプローチ」を導入することが重要です。
- ITとオペレーショナル・テクノロジー(OT)の融合が進むなか、最高情報セキュリティ責任者(CISO) には、ITとOTの間に長らく存在してきたサイロ型の組織文化を打破し、両チームの緊密な連携を促進することで、持続可能なレジリエンスの構築にむけ、中心的な役割を果たすことが求められています。
- CISOには、ITセキュリティ業務を超えて、組織全体のデジタル意識を高めるという「サイバーエバンジェリスト」と、環境変化に柔軟に対応しながら、セキュリティ戦略を継続的に適応・進化させていく「レジリエンスと、俊敏性を備えたセキュリティ・フレームワークの設計者」へと進化することが期待されています。
世界のエネルギー・化学企業におけるセキュリティの在り方は、最高情報セキュリティ責任者(CISO)の役割拡大、スマートデバイスやIoT機器の急増、そしてレジリエントな企業文化やネットワーク環境の構築の必要性など、さまざまな要因を背景に、大きく変貌を遂げています。このように複雑性と相互依存性が増す環境のなかで、多くのCISOは、従業員のデジタル意識をこれまで以上に高めるという新たな課題と機会に直面しています。そして、その実現に向け、CISO自身にも、「サイバーエバンジェリスト(伝道師)」としての役割を果たし、組織のあらゆるレベルで意識を行動へとつなげる働きかけが求められています。
エネルギー・化学セクターにおけるCISOの役割は、もはや従来のITセキュリティ分野にとどまりません。KPMGの調査によれば、「今後3年間でサイバー犯罪およびサイバーセキュリティの脆弱性が組織の成長に影響を及ぼす」と懸念するエネルギー・化学企業のCEOの割合は、約70%に上ることが明らかになっています1。こうした状況で、ITとオペレーショナル・テクノロジー(OT)の融合が進むなか、CISOには、経営から生産現場に至るまで、企業全体のテクノロジーエコシステムを包括的に保護するという重い責務が課されています。
このような責任の拡大に伴い、CISOには、サイバーセキュリティが事業に与える影響を経営幹部に的確に伝え、適切な予算を確保するとともに、組織全体にレジリエンス(回復力)の文化を根付かせるといった、新たなスキルセットが求められています。実際に、KPMGの調査によると、技術投資の意思決定プロセスの初期段階からサイバーセキュリティの取組みを実施していると回答したエネルギー・化学企業は59%に上り、CISOが組織の中核として重要な影響力を発揮し、サイバーセキュリティが全社的に浸透しつつあるという前向きな変化が見られます2 。
ただし、 エネルギー・化学業界の特性が、CISOが直面する課題をさらに複雑化させているのも事実です。エネルギー・化学業界は、欧州のNIS2指令(NIS2)やAI規制法、北米のNERC CIPなど、テクノロジー、サイバーセキュリティやその他サイバー環境に関する複雑かつ厳格な規制の対象となっています。CISOには、これらのコンプライアンス要件を遵守しながら、組織やステークホルダー、さらには社会全体に壊滅的な影響を及ぼしかねない地政学的リスクや増加するサイバー攻撃の脅威にも同時に対処することが求められているのです。
実際、2024年4月には、北米電力信頼度協会(NERC)により、米国の電力網における脆弱なポイントが1日あたり約60ヵ所のペースで増加している旨が報告されています3。また欧州では、2023年5月にデンマークの重要インフラが過去最大規模のサイバー攻撃を受け、わずか数日間で22社が被害を被り、一部の企業は、インターネットから完全に遮断された「アイランドモード(孤立運転モード)」への移行を余儀なくされました4。
このように地政学的リスクとサイバー脅威が高まる環境下では、CISOには、積極的かつ戦略的な思考・判断が求められます。すなわち、脆弱性管理を単なる技術的な対応にとどめるのではなく、ビジネスの観点に立ち返り、組織への潜在的な影響を踏まえたうえでリスクを判断・優先する「リスクベースのアプローチ」を導入することが重要となります。さらに、CISOは、このような戦略的リーダーシップを発揮するのみならず、ITとOTの間に長らく存在してきたサイロ型の組織文化を打破し、両チームの緊密な連携を促進することで、持続可能なレジリエンスの構築においても中心的な役割を果たすことが求められます。
1KPMG, エネルギー・化学業界インサイト:KPMGグローバルCEO調査2024
2KPMG, エネルギー業界インサイト:KPMGグローバルテクノロジーレポート2024
3Industrial Cyber, Critical infrastructure faces 30 percent surge in cyber attacks, KnowBe4 report highlights, August 28, 2024.
4SektorCERT, The attack against Danish critical infrastructure, November 2023
※本レポートの全文は、下記のPDFよりご覧いただけます。
